Et kart som viser angrepene til den nyoppdagede skadelige programvaren «Red October». (Bilde: Kaspersky Labs)

Fant ny superorm som utnytter Word og Excel

Har stjålet data fra myndigheter og forskningsinstitusjoner i fem år.

Etterforskere ved det russiske sikkerhetsselskapet Kaspersky Labs har nylig oppdaget et nytt sett med ondsinnet programvare, som de har døpt «Red October».

Red October, forkortet til Rocra, er i korte trekk et massivt kyberangrep. Ormen har jobbet de siste fem årene, og angriper i all hovedsak offentlige-, diplomatiske- og forskningsinstitusjoner.

Utnytter Word og Excel

Red October blir betegnet som et særs intelligent program. Det utnytter kjente sikkerhetshull i Microsofts kontorprogrammer Word og Excel for å få tilgang til maskiner. Hvert angrep er spesialtilpasset for mottakeren, slik at det blir lettere å lure brukeren til å åpne de skadelige filene. Når det er gjort setter viruset seg selv i høygir; det samler inn ytterligere informasjon om brukeren, som brukernavn og passord for fremtidige angrep. Samtidig skanner det maskinen for «sosial informasjon», slik at det blir lettere å tilpasse neste angrep.

Når maskinen først er infisert, begynner Red October å laste ned flere moduler som hjelper den i å utføre angrepet. Har du koblet telefonen din eller en minnepinne til maskinen, kan den enkelt hente ut filer fra disse, og selv slettede filer er utrygge. Har du en e-post-klient på maskinen, kan den ikke bare hente ut meldingene på maskinen din – den kan snike seg inn på en POP- eller IMAP-server, som er det de fleste mailklienter bruker. Tastaturdata, skjermdumper og mye mer står også på listen over hva dette viruset er i stand til å gjennomføre.

Hovedmålet for angrepene er i følge Kaspersky Labs tydelig: Red October samler sensitive dokumenter, legitimeringsinformasjon for klassifiserte datasystemer, geopolitisksensitiv informasjon samt informasjon om mobile enheter og nettverksutstyr.

Angrepene har i hovedsak vært rettet mot maskiner Øst-Europa, tidligere sovjetiske republikker og land i Sentral-Asia, men det finnes ofre over hele verden. Hittil kjenner Kaspersky Labs til omtrent 300 maskiner som er infisert.

Trolig russisk opphav

Det massive angrepet styres av rundt 60 kontrollservere, som hovedsaklig står i Russland og Tyskland. Kaspersky påpeker imidlertid at det er ingen tegn på at angrepet er sponset av en stat, men de påpeker at de har sterke bevis for at bakmennene har russisk som morsmål.

Red October kan minne om angrep som Stuxnet og Flame, to angrep man med stor grad av sikkerhet antar at var sponset av stater. Det er imidlertid ikke funnet noen koblinger mellom angrepet som nå er oppdaget, og disse to ormene som ble oppdaget i henholdsvis 2009 og 2012.

I løpet av sine fem år med herjinger har angrepet tygget igjennom hundrevis av terabyte med data, som kan selges på svartebørsen eller brukes av bakmennene selv. Etterforskningen pågår ennå, og Kaspersky sier de skal publisere en detaljert teknisk rapport om få dager.

(Kilder: Pressemelding, Kaspersky Labs, The Verge)

Norges beste mobilabonnement

Juni 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Ice Mobil 1 GB


Jeg bruker middels mye data:

Telio Go 5 GB


Jeg bruker mye data:

Komplett Maxiflex 12 GB


Jeg er superbruker:

Komplett Megaflex 30 GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen